ルール違反を放置して情報漏洩が発生したなら、経営者の責任は免れない――。企業の情報セキュリティーに精通する、ラックの西本逸郎取締役CTO(最高技術責任者)はこう断言する。約125万人分の個人情報が流出した日本年金機構の事件以降、セキュリティー体制を整備することが経営トップの重要な仕事になったという。セキュリティー対策を部下に“丸投げ”するとどんなリスクがあるのか。話を聞いた。
(聞き手は小笠原 啓)
1986年ラック入社。2013年から現職。日本スマートフォンセキュリティ協会事務局長、セキュリティキャンプ実施協議会事務局長、警察庁の総合セキュリティ対策会議委員などを兼務。
サイバー攻撃からは逃れられない、守りを固めても必ず突破される、と繰り返し警鐘を鳴らしています。
西本 :昨年のラグビーワールドカップ・南アフリカ戦で、日本代表は終了間際に劇的なトライを取りました。波状攻撃をかけて相手の陣形の弱い所を探り、油断やミスを誘発。闇雲に突っ込むのではなく、嫌がる所を意識的に攻め続けてきたことで、最終的に防御を突破しました。
サイバー攻撃も同じです。相手の出方を見たうえで、第1波、第2波、第3波と攻撃をエスカレートしていく。時には意図が丸分かりの稚拙な攻撃を織り交ぜて、安心させる攻撃者もいます。
根本的な違いは、サイバー攻撃では決して攻守が入れ替わらないことです。ラグビーは点数が入ったり反則を犯したりすると、攻撃はいったん中断します。時間が経過すればノーサイドにもなる。しかしサイバー攻撃では、犯人側が失敗してもやり直しが可能。防衛線を突破するまで、いつまでだって攻め続けられるのです。
危険が迫っても続いたルール違反
そうした状況では、全てのサイバー攻撃を守り切るのは不可能です。しかし昨年から、トップの責任を追及する風向きが強まってきました。きっかけは昨年発生した、日本年金機構の情報流出事件です。
年金情報流出の「以前」と「以後」で何が変わったのでしょうか。
西本 :昨年8月下旬に内閣官房のサイバーセキュリティ戦略本部などが調査報告書を発表し、9月にはサイバー本部が厚生労働省と日本年金機構のセキュリティー対策の改善措置を求める勧告を出しました。
この過程で、責任の所在がかなり明確になったと考えています。一言で言うと、組織のルール違反を放置する経営者やトップは情報流出や漏洩の責任を免れないということです。
年金機構に対しては、悪意ある攻撃者が繰り返し攻撃を仕掛けていました。年金機構の組織内部では危険が迫っていることを認識していました。
年金機構内部では「通常のオフィスエリアでは個人情報を扱わない」「扱う場合はパスワードを設定する」「使い終わったら即座に消去する」といったルールがありました。しかし実態は有名無実化し、ルール違反が横行していました。そこに不審なメールが届き、大規模な情報流出につながりました
年金機構のトップは本来なら、危険が迫っているので「ルール違反を撲滅しろ」と強く指示すべきでした。この視点が抜けていたのが、最大の経営責任だと私は考えます。
Powered by リゾーム?